Avast обнаружила спам-кампанию, распространяющую BluStealer
10 сентября команда Avast Threat Intelligence зафиксировала всплеск вредоносной активности — фишинговых писем, использующих названия транспортной компании DHL и мексиканской металлургической компании General de Perfiles. Всего Avast отследил и заблокировал около 12 000 вредоносных электронных писем, распространяющих BluStealer. В число наиболее пострадавших стран входят Россия, Турция, США, Аргентина, Великобритания, Италия, Греция, Испания, Франция, Япония, Индия, Чехия, Бразилия и Румыния. Так, российским пользователям пришло 139 таких писем.
Команда Avast Threat Labs обнаружила, что злоумышленники за неделю собрали 94 000 долларов (около 6,9 млн рублей). Здесь можно увидеть все транзакции с биткоинами, которые они получают в режиме реального времени, и с каждым днем сумма увеличивается: https://blockchair.com/bitcoin/address/1ARtkKzd18Z4QhvHVijrVFTgerYEoopjLP
Злоумышленники рассылают жертвам электронные письма, имитирующие дизайн писем DHL. Как правило, в сообщении идет речь о том, что посылка была доставлена в головной офис компании из-за отсутствия получателя на месте. Далее получателю предлагается заполнить вложенный документ, чтобы перенести доставку. Но когда пользователь пытается открыть его, запускается установка BluStealer.
В фишинговых кампаниях с General de Perfiles адресаты получают письма о том, что они переплатили по счетам, и что для них был сохранен некий кредит, который будет учтен в счете следующей покупки. Как и в кампании DHL, сообщение General de Perfiles содержит BluStealer во вложении.
BluStealer сочетает в себе функции кейлоггера, криптостилера и загрузчика документов. Она может похищать данные криптовалютных кошельков — например, закрытые ключи и учетные данные, в результате чего жертва может потерять доступ к своему кошельку. BluStealer также может находить криптоадреса, скопированные в буфер обмена, и заменять их на заранее заданные злоумышленником: так переводы криптовалюты попадают киберпреступникам, а не законным владельцам.
«Криптовалюты становятся все более популярными: по оценкам биржевой платформы Crypto.com, ими владеют более 100 миллионов человек по всему миру. Кроме того, операции с криптовалютами сложнее отследить и отменить. Все это делает пользователей криптовалют привлекательной целью для киберпреступников, — рассказывает Ан Хо, исследователь вредоносных программ в Avast. — В кампаниях вредоносного спама, которые мы видели, злоумышленники использовали методы социальной инженерии. Они злоупотребляли названиями известных авторитетных компаний, чтобы убедить людей загрузить вложение. Это старый прием — но с новым типом угрозы. Мы рекомендуем сохранять бдительность и дважды подумать, прежде чем нажать на любое вложение».
Большое количество образцов, найденных Avast, принадлежат одной определенной кампании, которую можно идентифицировать по уникальному загрузчику .NET. Оба образца электронной почты содержат вложения .iso и URL-адреса загрузки. Вложения содержат исполняемые файлы вредоносного ПО, упакованные с помощью упомянутого .NET-загрузчика.